MongoDB安全:创建第1个、第2个、第3个用户

Windows 10家庭中文版,MongoDB3.6.3,

 

前言

使用mongod命令基于某个空白文件夹(存放数据)启动MongoDB服务器时,要是没有使用--auth选项,启动后,任何客户端是可以无需认证就连接MongoDB服务器的。

比如,在MongoDB服务器启动后,在本机的终端输入mongo命令即可连接到MongoDB服务。

没有认证,不安全,在MongoDB服务器发布后,这是决不允许的!

因此,在使用mongod命令启动MongoDB服务器时,需要添加--auth选项,增加安全认证功能。

 

注意,

MongoDB默认没有添加用户的,基于易用性考虑;

在默认没有用户时,也是可以开启--auth选项的,因为MongoDB提供了一个localhost exception的功能,此功能允许用户在admin数据库中创建一个用户管理员(user administrator),此用户也是下一节要讲的创建的第1个用户。

 

说明,

MongoDB的安全体系支持下面三种认证机制:

-SCRAM(默认)

-MongoDB Challenge and Response (MONGODB-CR)(在3.6时被废弃

-x.509证书鉴别(Certificate Authentication,孤不熟悉,短时间内不准备去了解)

 

创建第1个用户:必须

第1个用户必须是用户管理员,其角色为userAdmin或userAdminAnyDatabase,这个用户可以用下面的方式管理用户:

-创建用户

-给用户赋予(grant)或取消(revoke)某角色

-创建或修改定制角色

 

总之,创建第一个用户使用userAdmin或userAdminAnyDatabase角色就对了!

 

孤的操作(mongod的配置参数请参考其help信息):

在空文件夹使用mongod命令启动MongoDB服务器:使用了--auth选项

mongod --dbpath d:\p\mdb018 --logpath d:\p\mdb018\log --logappend --auth --directoryperdb

 

创建一个基于角色userAdminAnyDatabase、用于admin数据库的用户admin:

-先在Notepad++中写入脚本(JavaScript?),如下:

1 db.createUser(
2   {
3     user: "admin",
4     pwd: "111111",
5     roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
6   }
7 )

-使用mongo命令连接MongoDB服务器,切换到admin数据库

-将前面的脚本拷贝到命令行并执行:添加用户admin成功;使用db.auth('admin', '111111')验证,返回1,成功!

-检查用户admin及其角色的信息:使用db.getUser(...)和db.getRole(....)命令

 

断开连接,使用选项--authenticationDatabase "admin"登录:建立连接后,db并非admin,仍然是test(与预期不符!),尚不清楚是怎么回事!

 

不管如何,第1个用户建立好了,角色为userAdminAnyDatabase,官文介绍说,除了local和config外,此角色的用户可以对其它数据库进行其角色允许的操作——简单地说就是,用户管理。 

 

创建第2个用户:内建角色

MongoDB 3.6共有7类共17个内建角色,其中,Database User Roles、Database Administration Roles是所有数据库都有的角色,而其它类别的角色是admin数据库独有的。

目前MongoDB服务器中只有内建数据库,那么,添加一个名为test0709的数据库——使用use,然后编写脚本,建立用户admin0709,密码为111111,使用内建角色readWrite、dbAdmin,脚本如下:

 1 db.createUser(
 2   {
 3     user: "admin0709",
 4     pwd: "111111",
 5     roles: [
 6         { role: "readWrite", db: "test0709" },
 7         { role: "dbAdmin", db: "test0709" }
 8     ]
 9   }
10 )

脚本拷贝到终端执行:用户添加成功!

测试:

-切换到admin,使用admin0709验证;

-切换回test0709,使用admin0709验证;

-查看数据库、集合、用户信息;

-已经在数据库test0709中添加了用户admin0709,但在show dbs中却没有看到数据库test0709,为什么?那么,断开连接后,再次连接到MongoDB服务器,是否还存在数据库test0709和其上的用户admin0709呢?测试!

结果显示:show dbs查看不到数据库,但用户admin0709的信息还在。

-admin0709的其中一个角色为readWrite,那么,测试添加、删除文档——在新的数据集fruit中;

-dbAdmin角色有创建集合的功能,那么,可以使用db.createCollection(name, options)函数创建集合;

a.普通集合

b.固定大小集合(capped)

-其它测试

... 

 

注意:用户admin0709在test0709下无法执行show dbs!

 

说明,孤对这些操作还不够熟练,需要多多练习才是啊!

 

创建第3个用户:自定义角色

除了内建角色,MongoDB还提供机制自建角色,以满足各种各样的需求,使用db.createRole()函数

db.createRole()函数语法如下:

db.createRole(role, writeConcern)

参数role、wrieConcern都是文档,本文仅关注role文档,下面是官方示例:具体信息请参考官网

 

下面新建一个角色myRole:可以在前面的test0709数据库中的集合中添加文档——insert操作。

同样,将添加角色的脚本(脚本的书写规则是什么?官文在哪里?)写入到文本文件中,然后拷贝到终端执行——用admin可以添加此角色(admin0709不具备此权限):

 

角色myRole添加成功,现在,基于此角色添加用户insertUser(还是用admin用户),脚本如下:

1 db.createUser(
2     {
3         user: "insertUser",
4         pwd: "111111",
5         roles: [
6             { role: "myRole", db: "test0709" }
7         ]
8     }
9 )

拷贝到终端时,执行出错,无法建立用户insertUser,原因是无法找到之前建立的角色myRole!需要做类似flush的操作吗?可是下午添加另一个角色未发现异常啊!

意外关闭终端后,再次进入终端,此时进入数据库test0709,检查又发现了角色myRole,并且成功添加了用户insertUser:

为什么会这样呢?!检查了MongoDB服务器的日志信息,也没有发现相关的失败操作,此时,怎么查找问题原因呢?哪些工具可以使用?

 

测试insertUser用户:在fruit数据集中插入文档,成功!但是,无法使用insertUser用户查看fruit数据集的文档,因为其不具备find权限!切换为admin0709查看结果,添加成功!

 

后记

总算写完了,今天第四篇,都挺基础的,但真的用力了!

之前看了菜鸟教程(RUNOOB) ,但因为没有实际操作,结果全忘记了,经过这一遍,好多了,不过呢,还有很多需要练习的!

更新啊、删除啊……各种!无论是角色还是用户!

居然可以直接存中文,挺好的,至少目前不用为字符集烦恼了,那么,和Web应用结合起来呢?过两天就知道了!

就这样!

可以创建第一个用户了、可以创建角色了、可以创建用户了,那么,单例MongoDB的基本安全应该可以保证了吧!放到公网也不用过于担心被坏人破坏了吧!比特币孤是没有的!万分之一枚也没有的!

有一个疑问,是否可以在创建数据库之前为数据库、数据集创建角色和用户?此问题源于之前角色创建好勒,可show dbs看不到数据库test0709。

问题还有一些,一个一个解决,这段时间解决了不少问题了,后面,应该还会更多!(这个蓝色清楚不掉,编辑器的问题吧)

 

posted @ 2018-07-09 23:26  快乐的欧阳天美1114  阅读(514)  评论(0编辑  收藏  举报